Проверьте, какие программы работают в Windows

Как активировать аудит процессов, загруженных в Windows: механизм проверки программ, выполняемых автоматически или по запросу пользователя.

Случалось ли с вами когда-нибудь, что окно командной строки в Windows внезапно открывается на долю секунды, а затем автоматически закрывается?
Возникает вопрос: из-за чего появилось это окно? О чем это было?

Диспетчер задач, который можно открыть, нажав комбинацию клавиш CTRL+SHIFT+ESC, предлагает полный список всех запущенных процессов. Нажав на вкладку «Подробности», вы можете узнать, какие приложения в данный момент загружены в память: Диспетчер задач Windows 10: что он позволяет делать.

Проблема, однако, в том, что Диспетчер задач не позволяет отслеживать список программ, ранее выполнявшихся в системе, потому что, по сути, он просто отслеживает запущенные в данный момент процессы.

Как проверить программы, которые запускаются в Windows

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Windows в редакциях Pro и более поздних позволяет включить так называемый аудит запущенных процессов. Это означает, что операционная система предлагает возможность мониторинга и сохранения в журнале событий всех процессов, которые постепенно запускаются на используемой машине.

Для этого просто нажмите Windows + R, затем введите gpedit.msc.

В разделе «Конфигурация компьютера» вам нужно будет выбрать «Параметры Windows», «Параметры безопасности», «Локальные политики», «Политики аудита», а затем на правой панели дважды щелкнуть «Проверить отслеживание процессов».

В следующем окне необходимо установить флажок «Успешные операции» и нажать «ОК».

Мы также рекомендуем выбрать «Конфигурация компьютера», «Административные шаблоны», «Система», «Проверить создание задания», а затем дважды щелкнуть параметр «Включить командную строку в события создания задания».

В этом случае вам нужно будет выбрать опцию «Включено» и нажать кнопку «ОК».

После перезагрузки системы Windows начнет записывать список процессов, запущенных на машине.

Чтобы получить список процессов, запущенных на машине, просто откройте окно PowerShell с правами администратора (комбинация клавиш Windows + X, выберите Windows PowerShell (администратор)) и введите следующее:

Get-WinEvent -FilterHashtable @{logname=»Security»;id=4688;StartTime=Get-Date -Format ‘dd/MM/yyyy’} | Выберите TimeCreated,@{ Label = «Имя процесса»; Выражение = {$_.Свойства[13].Ценность } }

С помощью конвейера PowerShell (примеры см. в PowerShell: что вы можете сделать) вы можете извлечь полный список запущенных программ (событие 4688) из журнала событий Windows (доступен в графическом виде, нажав Windows + R, а затем набрав eventvwr.msc).

Команда Get-Date -Format ‘dd/MM/yyyy’ позволяет извлечь только те задания, которые выполняются сегодня. Заменив эту строку датой, можно указать конкретный день. Пример:

Get-WinEvent -FilterHashtable @{logname=»Безопасность»;id=4688;StartTime=»01/01/2020″} | Выберите TimeCreated,@{ Label = «Имя процесса»; Выражение = {$_.Свойства[13].Ценность } }

Если вы хотите ограничиться только процессами, которые выполняются из окна терминала (со ссылкой на появление на мгновение черного фона экрана в Windows), вы можете использовать следующую команду:

Get-WinEvent -FilterHashtable @{logname=»Security»;id=4688;StartTime=Get-Date -Format ‘dd/MM/yyyy’} | ? { $_.Свойства[5].Value -Match ‘conhost’ } | Выберите TimeCreated,@{ Label = «Имя процесса»; Выражение = {$_.Свойства[13].Ценность } }

conhost идентифицирует процессы, которые были выполнены из окна терминала.

Если очень краткое появление окна терминала произошло за несколько секунд до этого, просто добавьте Select -First 10 внизу команды, чтобы выбрать только последние 10 процессов, запущенных и отслеживаемых в журнале событий:

Чтобы отключить аудит процессов в Windows, просто снова измените два параметра на уровне редактора групповой политики, восстановив значения по умолчанию и перезагрузив систему.